Gli esperti di CYFIRMA e CloudSEK hanno individuato una campagna di cyberspionaggio condotta da cybercriminali pakistani contro agenzie governative dell’India. Per accedere ai sistemi Linux e rubare dati riservati sono stati utilizzati specifici file che scaricano ed eseguono il malware. Gli attacchi iniziati il 1 agosto sono ancora in corso.
Descrizione delle attività di cyberspionaggio
L’attacco inizia con la tecnica dello spear phishing. Dopo aver individuato le potenziali vittime, i cybercriminali inviano email con un archivio ZIP in allegato. Al suo interno c’è un file .desktop camuffato da documento PDF. I file .desktop sono launcher di applicazioni che forniscono metadati, come nome, icona e comandi.
Quando l’ignara vittima apre il presunto documento PDF viene eseguito un comando bash nascosto che crea un file temporaneo in /tmp/ e scarica il payload da Google Drive o dal server controllato dai cybercriminali. Successivamente viene eseguito il comando chmod +x per rendere eseguibile il file.
Quest’ultimo viene lanciato in background, mentre l’utente vede un file “esca” PDF all’interno di Firefox. Nello script bash ci sono inoltre comandi per evitare la visualizzazione della finestra del terminale e per ottenere la persistenza (avvio automatico ad ogni login).
Il malware può rubare credenziali e altri dati sensibili che vengono quindi inviati al server remoto tramite connessione WebSocket. Sono utilizzate diverse tecniche per evitare la rilevazione da parte di soluzioni per analisi e debugging. Gli attacchi sono eseguiti dal gruppo APT36 (noto anche come Transparent Tribe, Mythic Leopard, EarthKarkaddan o Operation C-Major) che opera per conto del governo pakistano.
Ti potrebbe interessare
28 ago 2025